Cresce o ransomware as a service (RaaS)
Em nosso estranho mundo novo, sobrecarregado de informação e tecnologia, onde mal existe tempo para si próprio, mais uma preocupação mostra seu vulto no horizonte e dirige nossas atenções. O ransomware as a service (Raas), é um modelo de negócios inventado pela máfia e grupos de hackers altamente organizados, que possibilita que você solicite o desenvolvimento de ransomware tendo como alvo uma marca de antivírus específica. Não é uma prática nova ao contrário do que você pensa, ela começou em 2016 e vem crescendo e melhorando seu nível de serviço e a variedade das ofertas.
Este modelo de negócio, deu tão certo, que existe mesmo o vírus as a service (VaaS), onde você pode definir que funções precisa que o malware desempenhe e como ele deve se propagar. Você deve estar se perguntando como eles conseguem enganar a inteligência artificial, a proteção com assinaturas e a heurística de um antivírus, ouso dizer que você já conhece a resposta: tentativa e erro. Você desenvolve o código e testa na plataforma escolhida, simulando um ataque em uma ambiente de sandbox e observa se detecções são exibidas. Neste contexto, as organizações criminosas adentraram pela porta do fundo do mercado de serviços, excelentemente bem organizadas e com uma eficiente estratégia para impulsionar seu crescimento. Entretanto, como divulgar e vender este tipo produto? Quem seriam os clientes? De que forma eles concebem sua estratégia de marketing? Simples: através de uma rede de afiliados que divulga seus produtos usando campanhas de mailing para vender seu produto digital para o seu público-alvo (hackers, governos, empresas privadas, ativistas, terroristas e outros grupos de indivíduos). Os clientes alvo recebem links para uma landing page, criada pelo afiliado, mas hospedada pelo fabricante, que está hospedada dentro da darknet a qual contém todas as funcionalidades, especificações, descritivo do produto e prazo de entrega. O fechamento da venda é feito diretamente na página com pagamento em bitcoins e após a confirmação do mesmo, o afiliado recebe sua comissão.
Outra novidade é a infecção on-demand, onde fabricantes destes serviços distribuem códigos de ransomware e malware à seus afiliados juntamente com templates e-mail fraudulentos e listas de contatos (obviamente furtadas de alguém). Isto permite que o afiliado faça uma campanha de e-mails em massa visando infectar o maior número de usuários possíveis de uma determinada região ou país. Os templates destes e-mails contém um código JavaScript embutido. Quando o e-mail é aberto, ele informa ao fabricante que a infecção foi disparada, código do afiliado realizou a contaminação, detalhes do equipamento, geolocalização e outros dados. Tudo isto pode ser acompanhado em tempo real em uma espécie de Google Analytics do mal. Finalmente, quando os dados são encriptados, e o usuário decide pagar pelo resgate dos seus dados (o qual ele não receberá), uma comissão também paga ao revendedor.
A BitDefender investe na parceira com a Interpol e Europol para coibir a prática e coletar amostras fruto das ações policiais, além de novas camadas de inteligência artificial, na forma do addon Hyperdetect e do Sandbox Analyser, bem como do aperfeiçoamento dos mecanismos de segurança. Neste ano de 2018, estas ameaças ganharam força e segundo especialistas devem aumentar no ano de 2019.
